0

我们在 IIS 上有一个 ASP.NET 网站。我们有一个Lead Forensics链接。在切换到所有页面上都需要 SSL 之前,它一直运行良好。它类似于:

<script type="text/javascript" src="http://lead-123.com/js/8303.js"></script>

但是,由于需要 SSL,因此跟踪似乎不再起作用。

http显然这是由从原始https页面链接的请求引起的。但以下两次尝试也失败了:

src="//lead-123.com/js/8303.js"

src="https://lead-123.com/js/8303.js"

访问跟踪脚本的 https URL 表明它正在被提供(尽管存在安全错误)。

我相信Lead Forensics 已经考虑到了这一点。有谁知道是否有任何约定或解决方法可以以某种方式使用,以便不会在网站上报告安全错误并进行跟踪工作?我找不到任何有关这方面的文档,并且迄今为止与他们联系的尝试尚未被证明是成功的。

**

更新

毕竟,我不确定脚本是否托管在https链接上。(只有在我成功收到来自链接的响应后,它才会在我的浏览器中响应http)。尽管如此,我仍在寻找关于如何处理这种情况的约定,或者如果使用 SSL,是否提供单独的链接,或者该技术是否甚至能够通过 SSL 工作。

4

2 回答 2

5

致电线索取证支持。他们可以根据要求为跟踪器配置安全端点:

<script type="text/javascript" src="https://secure.leadforensics.com/js/XXXXX.js"></script> 
<noscript>
<img src="https://secure.leadforensics.com/XXXXX.png" style="display:none;" />
</noscript>
于 2016-11-08T18:44:07.250 回答
3

您对此无能为力。分配给此证书的 CN(通用名称)名称是*.leadforensics.com; 但是,他们不断提供与该证书绑定的其他域名。

ERR_CERT_COMMON_NAME_INVALID是我们得到的错误。

由于整个过程在后台运行,因此浏览器不会打开 JS 和 PNG 文件,也不会发生跟踪。

我不确定 Lead Forensics 是如何做到这一点的!

我们可以很容易地创建一个解决方法,通过使用HttpWebRequest类并将 X509 事件覆盖为始终为真 - 但创建这样的解决方法会违反安全规范并可能掩盖其他漏洞。

所以我已经要求 Lead Forensics 纠正它。

于 2016-07-01T11:05:58.377 回答